本文主要是介绍【网络安全】漏洞挖掘:IDOR实例,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
未经许可,不得转载。
文章目录
- 正文
正文
某提交系统,可以选择打印或下载passport。
点击Documents > Download后,应用程序将执行 HTTP GET 请求:
/production/api/v1/attachment?id=4550381&enamemId=123888
id为文件id,enameID为用户身份id。
更改id为4550380,发现能够未授权下载他人passport,因此,遍历即可访问500,000本passport。
原文出处:
https://offsec01.medium.com/how-i-prevented-a-data-breach-by-reporting-an-idor-in-a-system-exposing-over-500-000-us-passports-bc6bec99aa3d
这篇关于【网络安全】漏洞挖掘:IDOR实例的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
